Azure 資訊保護 需求

部署 Azure 資訊保護 之前，請確定您的系統符合下列必要條件：

• Azure 資訊保護 的訂用帳戶
• Microsoft Entra ID
• 用戶端裝置
• 應用程式
• 防火牆和網路基礎結構

若要部署 Azure 資訊保護，您必須在想要使用 AIP 功能的任何電腦上安裝 AIP 用戶端。 如需詳細資訊，請參閱為使用者安裝 Azure 資訊保護 統一卷標用戶端和 Azure 資訊保護 用戶端。

Azure 資訊保護 的訂用帳戶

您必須使用 Azure 資訊保護 掃描器或客戶端來設定分類、標記和保護的 Azure 資訊保護 方案。 如需詳細資訊，請參閱

• 安全性與合規性的 Microsoft 365 授權指引
• 新式工作計劃比較 （PDF 下載）

如果您的問題未在該處回答，請連絡您的 Microsoft 帳戶管理員或 Microsoft 支援服務。

Microsoft Entra ID

若要支援 Azure 資訊保護 的驗證和授權，您必須擁有 Microsoft Entra 識別符。 若要從內部部署目錄使用用戶帳戶（AD DS），您也必須設定目錄整合。

• Azure 資訊保護 支援單一登錄 （SSO），讓使用者不會重複提示其認證。 如果您使用另一個廠商解決方案進行同盟，請洽詢該廠商以瞭解如何設定 Microsoft Entra ID。 WS-Trust 是這些解決方案支援單一登錄的常見需求。

• 當您擁有必要的客戶端軟體且已正確設定 MFA 支援的基礎結構時，Azure 資訊保護 支援多重要素驗證 （MFA）。

Azure 資訊保護 保護的文件預覽版支持條件式存取。 如需詳細資訊，請參閱：我會看到 Azure 資訊保護 列為條件式存取的可用雲端應用程式，這如何運作？

特定案例需要額外的必要條件，例如使用憑證型或多重要素驗證，或 UPN 值不符合使用者電子郵件位址時。

如需詳細資訊，請參閱

• Azure 資訊保護 的其他 Microsoft Entra 需求。
• 什麼是 Microsoft Entra Directory？
• 整合 內部部署的 Active Directory 網域與 Microsoft Entra ID。

用戶端裝置

用戶電腦或行動裝置必須在支援 Azure 資訊保護 的作業系統上執行。

• 用戶端裝置支援的作業系統
• ARM64
• 虛擬機器
• 伺服器支援
• 每個用戶端的其他需求

用戶端裝置支援的作業系統

支援適用於 Windows 的 Azure 資訊保護 用戶端有下列作業系統：

• Windows 11

• Windows 10 （x86，x64）。 Windows 10 RS4 組建和更新版本不支援手寫。

• Windows Server 2019

• Windows Server 2016

• Windows Server 2012 R2 和 Windows Server 2012

如需舊版 Windows 中支援的詳細數據，請連絡您的 Microsoft 帳戶或支援代表。

ARM64

目前不支援ARM64。

虛擬機器

如果您使用虛擬機，請檢查虛擬桌面解決方案的軟體廠商是否為執行 Azure 資訊保護 統一標籤或 Azure 資訊保護 用戶端所需的其他設定。

例如，針對 Citrix 解決方案，您可能需要停用 Office 的 Citrix 應用程式開發介面 （API） 連結、Azure 資訊保護 統一卷標用戶端或 Azure 資訊保護 用戶端。

這些應用程式分別使用下列檔案:winword.exe、excel.exe、outlook.exe、powerpnt.exe、msip.app.exe、msip.viewer.exe

伺服器支援

針對上述每個伺服器版本，遠端桌面服務支援 Azure 資訊保護 用戶端。

如果您在搭配遠端桌面服務使用 Azure 資訊保護 客戶端時刪除使用者配置檔，請勿刪除 %Appdata%\Microsoft\Protect 資料夾。

此外，不支援 Server Core 和 Nano Server。

每個用戶端的其他需求

每個 Azure 資訊保護 用戶端都有額外的需求。 如需詳細資料，請參閱：

• Azure 資訊保護 統一卷標用戶端需求

• Azure 資訊保護 用戶端需求

應用程式

Azure 資訊保護 用戶端可以使用 Microsoft Word、Excel、PowerPoint 和 Outlook，從下列任一 Office 版本標記及保護文件和電子郵件：

• 從 Microsoft 365 Apps for Business 或 Microsoft 365 商務進階版，當使用者獲指派 Azure Rights Management 授權時，Office 應用程式，以更新通道列出 Microsoft 365 Apps 支援的 Microsoft 365 Apps 版本數據表所列的版本（也稱為 Office 365 的 Azure 資訊保護）

• Microsoft 365 Apps 企業版

• Office 專業版 Plus 2021

• Office 專業增強版 2019

• Office 專業增強版 2016 - 請注意，由於 Office 2016 不是主流支援，因此 AIP 支援會根據最佳努力完成，而且不會針對 2016 版中發現的問題進行修正。 請參閱 Microsoft Office 2016

其他版本的 Office 無法使用 Rights Management 服務來保護文件和電子郵件。 針對這些版本，Azure 資訊保護 僅支持分類，且不會針對用戶顯示套用保護的標籤。

卷標會顯示在 Office 檔頂端的列中，可從 統一卷標用戶端的 [敏感度 ] 按鈕存取。

• 當 AIP 用戶端為檔案加上標籤時，1.4 版和更低版本的 PDF 檔案會自動升級至 1.5 版。

如需詳細資訊，請參閱 支援 Azure Rights Management 數據保護的應用程式。

不支援 Office 功能

• 適用於 Windows 的 Azure 資訊保護 用戶端不支援相同電腦上的多個 Office 版本，或切換 Office 中的使用者帳戶。

• 任何 Azure 資訊保護 功能都不支援 Office 郵件合併功能。

防火牆和網路基礎結構

如果您有設定為允許特定連線的防火牆或類似的介入網路裝置，則網路連線需求會列在此 Office 文章： Microsoft 365 Common 和 Office Online 中。

Azure 資訊保護 具有下列額外需求：

• 統一標籤用戶端。 若要下載標籤和標籤原則，請透過 HTTPS 允許下列 URL：*.protection.outlook.com

• Web Proxy。 如果您使用需要驗證的 Web Proxy，您必須將 Proxy 設定為使用整合式 Windows 驗證 與使用者的 Active Directory 登入認證。

  若要在使用 Proxy 取得令牌時支援 Proxy.pac 檔案，請新增下列新的登錄機碼：

  • 路徑：Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
  • 金鑰：UseDefaultCredentialsInProxy
  • 類型：DWORD
  • 值：1

• TLS 用戶端對服務連線。 請勿終止任何 TLS 用戶端對服務連線，例如對 aadrm.com URL 執行封包層級檢查。 這樣做會中斷 RMS 用戶端搭配 Microsoft 管理 CA 使用的憑證釘選，以協助保護其與 Azure Rights Management 服務的通訊。

  若要判斷客戶端連線是否在到達 Azure Rights Management 服務之前終止，請使用下列 PowerShell 命令：

  $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
  $request.GetResponse()
  $request.ServicePoint.Certificate.Issuer
  

  結果應該會顯示發行 CA 來自 Microsoft CA，例如： CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US。

  如果您看到不是來自 Microsoft 的發行 CA 名稱，可能是您的安全用戶端對服務連線正在終止，且需要在防火牆上重新設定。

• TLS 1.2 版或更高版本 （僅限統一卷標用戶端）。 統一卷標用戶端需要 TLS 1.2 版或更高版本，以確保使用密碼編譯安全通訊協定，並配合 Microsoft 安全性指導方針。

• Microsoft 365 增強組態服務 （ECS）。 AIP 必須能夠存取 config.edge.skype.com URL，這是 Microsoft 365 增強式設定服務 （ECS）。

  ECS 可讓您重新設定 AIP 安裝，而不需要重新部署 AIP。 它用來控制功能或更新的漸進式推出，而推出的影響會從收集的診斷數據進行監視。

  ECS 也可用來降低功能或更新的安全性或效能問題。 ECS 也支援與診斷數據相關的設定變更，以協助確保收集適當的事件。

  限制 config.edge.skype.com URL 可能會影響 Microsoft 減輕錯誤的能力，並可能會影響測試預覽功能的能力。

  如需詳細資訊，請參閱 Office 的基本服務 - 部署 Office。

• 稽核記錄 URL 網路連線能力。 AIP 必須能夠存取下列 URL，才能支援 AIP 稽核記錄：

  • https://*.events.data.microsoft.com
  • https://*.aria.microsoft.com （僅限 Android 裝置資料）

  如需詳細資訊，請參閱 AIP 報告的必要條件。

AD RMS 與 Azure RMS 共存

在相同組織中，使用 AD RMS 和 Azure RMS 並存保護相同組織中的相同用戶的內容，只有在 AD RMS for HYOK（保留您自己的密鑰）保護與 Azure 資訊保護 中才支援。

移轉期間不支援此案例。 支援的移轉路徑包括：

• 從 AD RMS 到 Azure 資訊保護

• 從 Azure 資訊保護 到 AD RMS

針對其他非移轉案例，這兩個服務都在相同的組織中作用中，必須設定這兩個服務，讓其中只有一個可讓任何指定使用者保護內容。 設定這類案例，如下所示：

• 將 AD RMS 重新導向至 Azure RMS 移轉

• 如果這兩個服務必須同時對不同的使用者使用中，請使用服務端設定來強制執行排他性。 使用雲端服務中的 Azure RMS 上線控制件，以及發布 URL 上的 ACL 來設定 AD RMS 的唯讀 模式。

服務標籤

如果您使用 Azure 端點和 NSG，請務必允許存取下列服務標籤的所有埠：

• AzureInformationProtection
• AzureActiveDirectory
• AzureFrontDoor.Frontend

此外，在此情況下，Azure 資訊保護 服務也取決於下列IP位址和埠：

• 13.107.9.198
• 13.107.6.198
• 2620：1ec：4：：198
• 2620：1ec：a92：：198
• 13.107.6.181
• 13.107.9.181
• HTTPS 流量的埠 443

請務必建立規則，以允許輸出存取這些特定IP位址，以及透過此埠。

支援 Azure Rights Management 資料保護的內部部署伺服器

當您使用 Microsoft Rights Management 連接器時，Azure 資訊保護 支援下列內部部署伺服器。

此連接器可作為通訊介面，以及內部部署伺服器與 Azure Rights Management 服務之間的轉送，Azure 資訊保護 用來保護 Office 檔和電子郵件。

若要使用此連接器，您必須設定 Active Directory 樹系與 Microsoft Entra 識別符之間的目錄同步處理。

支援的伺服器包括：

如需詳細資訊，請參閱 部署 Microsoft Rights Management 連接器。

Azure Rights Management 支援的作業系統

下列操作系統支援 Azure Rights Management 服務，其提供 AIP 的數據保護：

如需詳細資訊，請參閱 支援 Azure Rights Management 數據保護的應用程式。

下一步

檢閱所有 AIP 需求並確認系統符合之後，請繼續準備 Azure 資訊保護 的使用者和群組。